ロシアで30万台以上が集団感染検出不可？ Javaの脆弱性を突く「ファイルなしボット」

ロシアで猛威をふるい、30万台以上の端末に感染したという「ファイルなしボット」。Javaの脆弱性を悪用する、ファイルなしボットの攻撃の手口を説明しよう。

[Robert Sheldon，TechTarget]

　Javaの脆弱性を突く、ファイルを持たないマルウェアに、ロシアのコンピュータが集団感染した。同種の攻撃がロシアだけで発生するとは限らず、Windowsマシンだけが標的になるとも限らない。

関連記事

• 米Oracleの怠慢を批判――「Javaはアンインストールすべき」
• Javaをアンインストールせずにセキュリティを高める方法

　仕組みは周知の通りだ。社内のエンドユーザーが感染サイトを閲覧し、知らないうちに最新型のマルウェアをダウンロードする。もしウイルス対策ソフトウェアがそれなりに機能していれば、ダウンロードを阻止するか、少なくともユーザーのHDDにある不正ファイルを検出、隔離してくれる。だがHDDに検出すべきファイルがなかったとしたら？　もしもマルウェアがメモリだけに存在し、まさか破られるとは管理者もウイルス対策ソフトウェアもOSさえも思っていない、信頼すべきプロセスの下で実行されていたとしたら？

　2012年にロシアで発生したのは、まさにこうした事態だった。特異な種類のマルウェア、すなわちファイルを持たない「ファイルなしボット」に30万台以上のコンピュータが感染。このボット（インターネットを介して自動化されたタスクを実行できるソフトウェアロボット）は、誰にも邪魔されずに活動を続けた。

　数カ月たってロシアKaspersky Labが、珍しい種類のマルウェアがロシアのオンライン情報リソースを通じて増殖していると発表した。サードパーティー広告ネットワークのAdFoxからWebサイトへ配信した広告にJavaマルウェアが仕込まれており、サイバー犯罪集団が運営するダウンロード用サーバにブラウザのユーザーを誘導していた。

関連記事

• 標的型攻撃にも悪用、ボットネットによるサイバー攻撃の手口と対策
• 1400万ドルを荒稼ぎ、FBIが摘発した大規模サイバー犯罪の手口

ファイルなしボットの仕組み

　ファイルなしボットは、以下の5つのステップで情報を盗み出す。

第1段階

　ユーザーが感染サイトを閲覧する。それ以外の動作は必要ない。ユーザーは、気付かないままサイバー犯罪者のサーバ（マスターサーバ）へリダイレクトされる。

第2段階

　マスターサーバが、暗号化されたDLLをユーザーのコンピュータのJavaプロセス（javaw.exe）に挿入する。javaw.exeは、マシンのメモリ内で実行される。また、このDLLは、Javaの周知の脆弱性を悪用する（これについては後述する）。